Problem mit OL2016

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Hallo Norbert,
    um offen zu sein - ich verstehe die Frage leider nicht ganz.

    Ich habe ein Zertifikat auf "mail.meinedomain.de" und als SAN "autodiscover.meinedomain.DE". Ich habe zwei DNS-Zonen; eine für mail.meinedomain.de und eine für autodiscover.meinedomain.de. In beiden Zonen einen HostA ohne Namen mit der IP-Adresse des EX-Servers im lokalen Netz.

    Die URLs sind nach der Anleitung von Franky gesetzt - also PowerShell und Autodiscover wurden nicht verändert; alle anderen auf "mail.meinedomain.de" undzwar jeweils für intern und extern. Also im Detail:

    ECP - mail.meinedomain.de/ecp (intern und extern)
    EWS - mail.meinedomain.de/EWS/Exchange.asmx (intern und extern)
    MSAS - mail.meinedomain.de/Microsoft-Server-ActiveSync (intern und extern)

    OAB - mail.meinedomain.de/OAB (intern und extern)
    OWA - mail.meinedomain.de/owa (intern und extern)

    Es funktioniert von außen ohne irgendwelche Probleme! Keine Abfrage. Keine Zertifikatsmeldung. Alles bestens. Intern via Browser ebenfalls keinerlei Probleme. Keine Zertifikatsmeldung. Nach Aufbau der Verbindung wird das Zertifikat als vertrauenswürdig angezeigt.

    Beantwortet das Deine Frage?
  • Noch ein paar Nachträge, was ich nun noch versucht habe:

    1. Ich prüfe noch einmal den AutodiscoverService in der Exchange-Konsole mit "Get-ClientAccessServer –Identity MeinExHostName | fl AutodiscoverServiceInternalUri" und erhalte "AutodiscoverServiceInternalUri: autodiscover.meinedomain.de/Autodiscover/Autodiscover.xml" Das entspricht den Angaben im Zertifikat und den Erwartungen.
    2. Ich prüfe als nächstes "Get-AutodiscoverVirtualDirectory | ft InternalUrl,ExternalUrl" Und erhalte … nichts. Also sowohl InternalUrl als auch External Url sind leer.
    3. Ich prüfe "Get-WebServicesVirtualDirectory | ft InternalUrl,ExternalUrl". Hier erhalte ich zu meiner Überraschung: "InternalUrl: mail.meinedomain.de/EWS/Exchange.asmx" ExternalUrl: "https://mail.meinedomain.de/EWS/Exchange.asmx". Das passt!
    4. Ich prüfe „Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl“ und erhalte"InternalUrl: mail.meinedomain.de/Microsoft-Server-ActiveSync" "ExternalUrl: mail.meinedomain.de/Microsoft-Server-ActiveSync"
    5. Ich prüfe „Get-ECPVirtualDirectory | fl internalurl,externalurl“ und erhalte "InternalUrl: mail.meinedomain.de/ecp" "ExternalUrl: mail.meinedomain.de/ecp"
    6. Ich prüfe „Get-OABVirtualDirectory | fl internalurl,externalurl“ und erhalte "InternalUrl: mail.meinedomain.de/OAB" "ExternalUrl: mail.meinedomain.de/OAB"
    7. Ich prüfe als nächstes „Get-ActiveSyncVirtualDirectory | fl internalurl,externalurl“ und erhalte

    "InternalUrl: mail.meinedomain.de/Microsoft-Server-ActiveSync" "ExternalUrl: mail.meinedomain.de/Microsoft-Server-ActiveSync"

    Das deckt sich mit der Beschreibung in der HowTo auf FrankysWeb und einigen anderen Artikeln die ich fand. Denen zufolge müssen die Einträge für Autodiscover ("leer") ebenso wie für Powershell unverändert bleiben.

    Ich hoffe, ich habe das so genau beschrieben, dass einer den Nagel in meinem Kopf findet :(

    Danke & Gruss
    Jürgen
  • Hi Norbert,

    NorbertFe schrieb:

    Im SAN _muss_ auch mail.meindomain.de drin stehen
    Wie meinst Du das? Das Zertifikat lautet auf "mail.meinedomain.de". Also der CN lautet darauf!
    Wennich mir die Details des Zertifikates anzeigen lasse, dann steht unter "Zertifikatshierarchie" "DigiCert Global Root G2 " --> "GeoTrust TLS RSA CA G1" --> "mail.meinedomain.de"
    Unter Zertifikats-Layout steht "mail.meinedomain.de\Zertifkat\Erweiterungen\Zertifikatsgegenstand-Alternativ-Name:
    Feld-Wert: Nicht kritisch / DNS-Name: mail.meinedomain.de / DNS-NAme: autodiscover.meinedomain.de".

    Entspricht das dem, was Du meinst?

    Wie schon gesagt: Von außen keinerlei Probleme. Keine Zertifikatsmeldungen/-abfragen. Garnichts. Nur intern taucht unverändert der lokale Hostname (meinExHost.meinedaomain.ZZ) auf :( Ich weiß aber nicht, warum!?! Ich habe keine explizite Einstellung, die darauf hinwirkt. Vielleicht DNS-Cache?

    ich glaube, ich sehe den Wald vor Bäumen nicht ... irgend etwas übersehe ich bestimmt :(

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von JUMI () aus folgendem Grund: Nachträglich anonymisiert

  • NorbertFe schrieb:

    Und ja, genau das meinte ich. Es steht der CN auch als SAN drin.
    Ahh - also hab ich es richtig gemacht?!


    NorbertFe schrieb:

    Wie hast du im internen DNS die Einträge angelegt und welche?
    Wie in Post #12 beschrieben: "Ich habe zwei DNS-Zonen; eine für mail.meinedomain.de und eine für autodiscover.meinedomain.de. In beiden Zonen einen HostA ohne Namen mit der IP-Adresse des EX-Servers im lokalen Netz." Gemeint sind natürlich auf dem DC der lokalen Domain (meinedomain.ZZ). Auch das habe ich exakt nach der HowTo aus FrankysWeb gemacht.


    NorbertFe schrieb:

    In deinen Tests fehlt das owavirtualdirectory
    Guter Hinweis!!! Okay. Nachgeholt:
    Get-OWAVirtualDirectory ergibt:
    Name: owa (Default Web Site)
    Server: meinExHostname (ohne Doman; ohne TLD)
    OwaVersion: Exchange 2013

    Das verstehe ich nicht :( Wenn ich die Adresse "mail.meinedomain.DE" im Browser auf einem beliebigen PC im lokalen Netz eingebe, funktioniert alles. Ohne Zertifikatsmeldung. Klicke ich das Zertifikat an, dann sehe ich das auf Geotrust lautender Root-CA und alles ist gut. Warum also steht hier nur der (lokale) Hostname?

    Wie schon beschrieben, habe ich im EAC unter "OWA" "https://mail.meinedomain.de/owa" eingegeben - undzwar sowohl für Intern als auch für Extern!

    Soll das mit dem (lokalen) Hostnamen also so, oder ist das ein Fehler? Habe gerade einen Artikel im TechNet gelesen - der widerspricht allerings auch der Beschreibung auf FrankysWeb. Wenn ich das dort nicht falsch interpretiert habe, dannsteht dort:
    Autodiscover No external URL displayed
    ECP owa.contoso.com/ecp
    EWS mail.contoso.com/EWS/Exchange.asmx
    Mapi mail.contoso.com/mapi
    Microsoft-Server-ActiveSync mail.contoso.com/Microsoft-Server-ActiveSync
    OAB mail.contoso.com/OAB
    OWA owa.contoso.com/owa


    PowerShell mail.contoso.com/PowerShell

    Hätte ich also noch einen SAN gebraucht (owa.meinedomain.de)??? :-()

    Gruß Jürgen

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von JUMI () aus folgendem Grund: Nachträglich anonymisiert